虚拟桌面技术在涉密网中应用的安全风险的研究.pdfVIP

虚拟桌面技术在涉密网中应用的 安全风险研究 王晓飞 楼 芳 中国工程物理研究院信息安全技术中心 随着云计算的大范围推广，虚拟技术也被广泛应用，涉密网中有关虚拟桌面技术的 摘 要 ： 应用也越来越多。但如何在引入新技术的同时保障涉密网络的安全保密性，是一个值得思考的问 题。本文从多个角度分析了在涉密网中引入虚拟桌面技术带来的风险。 虚拟技术 虚拟桌面 风险 关键词 ： 1 引言 面架构（Virtual Desktop Infrastructure）是一套网络 架构模型，客户端通过网络连接操作位于服务器端 随着云计算的大范围推广，作为其基础技术的 的虚拟机 [1] 。其访问方式如图 1 所示。 虚拟桌面技术已经逐渐成熟并被广泛使用。虚拟桌 面技术具有桌面集中管控、桌面标准化管理、数据 的集中存储和计算资源的动态化分配等优点。鉴 于其技术特点，许多涉密网中也在逐步试点应用 该技术。但由于涉密网络的特殊性，在虚拟桌面 架构下，如何保障网络的安全保密性，已成为必 须考虑的问题。 本文以 VMware 的虚拟桌面架构为研究对象， 从虚拟桌面自身安全性、涉密网中使用后带来管理 风险以及技术风险三个角度出发，研究虚拟桌面技 术应用在涉密网络中造成的安全风险。 客户端可以是普通计算机，也可以是只有简单 的运行显示环境的瘦客户端。桌面环境是以虚拟机 2 基于VMware的虚拟桌面应用介绍 的方式运行在服务器上，客户端只进行简单地显示， 基于 VMware 的虚拟桌面应用，简称为虚拟桌 以及对用户交互信息的传递。采取这种架构，可以 2013 年 9 月 | 增刊 | 43 第二十三届全国信息保密学术会议（IS2013）论文集 实现用户终端的集中化管理，提高安全性，而且便 新的运行环境，降低管理风险。 于用户访问属于自己的桌面环境。 在虚拟桌面架构模式下，系统管理员权限相比 传统网络架构扩大，易造成管理员监管失效、信息 3 虚拟桌面技术自身安全风险 知悉范围扩大等问题。首先，管理员访问权限变大， 如，管理员可以访问用户桌面，可以监视用户操作 当一种新技术应用在信息系统中，用户在享受 行为，可以获取部分用户数据等。其次，增加了新 其带来便利的同时，也要考虑其带来的安全隐患。 的管理行为，如，虚拟机管控，虚拟机模板定制和 虚拟桌面技术是最近几年发展起来的技术手段，该 虚拟桌面软件安装等，针对此类行为必须制定相应 技术的架构安全性和相应产品的安全性成为引入涉 的策略。最后，针对虚拟桌面架构的审计主要依赖 密网中首先要考虑的问题。 系统自身的审计功能。目前，市场上很少有专门的 虚拟桌面技术实现了多人共用一套硬件设备， 审计软件提供审计，而自身的审计功能对管理员操 可充分利用服务器资源，实现资源的优化配置。但 作行为的审计范围和审计粒度都不够，因此，应该 这种架构也引入了新的安全风险，由于多个虚拟桌 从管理层面加强对管理员的审计，监管管理